Questa pagina è stata tradotta dall'API Cloud Translation.

Passaggio 3: configura l'hosting e la crittografia

Questa pagina si applica a Apigee, ma non a Apigee ibrido.

Visualizza la documentazione di Apigee Edge.

Cosa stai facendo in questo passaggio

In questo passaggio, a seconda del tuo percorso utente specifico, specifica le località di hosting per il tuo piano di controllo o di analisi Apigee, le istanze di runtime e di dataplane e la regione di dati dei consumatori dell'API. Specifichi anche le selezioni delle chiavi di crittografia.

La differenza tra ciascun percorso dell'utente è la selezione o la creazione delle chiavi di crittografia, che siano gestite da Google o dal cliente, nonché se la residenza dei dati è attivata o meno.

Alcune funzionalità non sono supportate se è abilitata la residenza dei dati. Per informazioni dettagliate, consulta Configurazione della residenza dei dati.

Se il tuo progetto Google Cloud ha una CMEK del criterio dell'organizzazione, la residenza dei dati è abilitata per impostazione predefinita e la CMEK obbligatorio.

Durante la creazione dell'organizzazione vengono utilizzate le seguenti chiavi:

Chiave di crittografia	Descrizione
Chiave del piano di controllo	Cripta i dati di Analytics archiviati all'interno di BigQuery in Apigee progetto tenant. Cripta proxy API, server di destinazione, archivi attendibili e archivi chiavi e qualsiasi altra informazione condivisa tra i runtime.
Chiave dei dati dei consumatori dell'API	Cripta i dati dell'infrastruttura del servizio. Deve essere obbligatoriamente una regione all'interno della località del piano di controllo.
Chiave di database di runtime	Crittografa i dati dell'applicazione, come KVM, cache e client secret, che vengono poi archiviati nel database.

Chiave di crittografia

Descrizione

Chiave del piano di controllo

Cripta i dati di Analytics archiviati all'interno di BigQuery in Apigee progetto tenant.

Cripta proxy API, server di destinazione, archivi attendibili e archivi chiavi e qualsiasi altra informazione condivisa tra i runtime.

Chiave dei dati dei consumatori dell'API

Cripta i dati dell'infrastruttura del servizio. Deve essere obbligatoriamente una regione all'interno della località del piano di controllo.

Chiave di database di runtime

Crittografa i dati dell'applicazione, come KVM, cache e client secret, che vengono poi archiviati nel database.

La seguente chiave viene utilizzata durante ogni creazione di istanze:

Chiave di crittografia	Descrizione
Chiave del disco di runtime	Crittografa le KVM, la cache dell'ambiente, i bucket e i contatori delle quote. Crittografa i prodotti API di dati KMS, gli sviluppatori, le app per sviluppatori, i token OAuth (inclusi i token di accesso, i token di aggiornamento e i codici di autorizzazione) e le chiavi API.

Esegui il passaggio

Autorizzazioni richieste per questa attività

Puoi assegnare al provisioner Apigee un ruolo predefinito che include autorizzazioni necessarie per completare l'attività o da assegnare le autorizzazioni necessarie per fornire il privilegio minimo necessario. Vedi Ruoli predefiniti e Autorizzazioni dell'istanza di runtime.

Per visualizzare i passaggi per il tuo percorso utente specifico, seleziona uno dei seguenti percorsi. Sono elencati in ordine di complessità, con la più semplice percorso dell'utente A.

Visualizzare il diagramma di flusso del percorso dell'utente

Il seguente diagramma mostra i possibili percorsi dell'utente per configurare l'hosting e la crittografia per un'organizzazione con pagamento a consumo utilizzando la console Cloud.

I percorsi degli utenti sono contrassegnati da A a F e sono ordinati da semplice a complesso, dove A è il più semplice e F il più complesso.

	Percorso dell'utente	Descrizione
	Percorso dell'utente A: crittografia gestita da Google, nessuna residenza dei dati	Seleziona questa opzione se: Vuoi che sia Google a gestire le chiavi di crittografia Non sono tenuti ad archiviare contenuti principali ed elaborazione nella stessa regione geografica Il tuo progetto Google Cloud non ha un vincolo dei criteri dell'organizzazione per i CMEK
	Percorso dell'utente B: crittografia gestita da Google, con residenza dei dati	Seleziona questa opzione se: Vuoi che sia Google a gestire le chiavi di crittografia Vuoi archiviare contenuti ed elaborazione di base nella stessa regione geografica Il tuo progetto Google Cloud non ha un vincolo dei criteri dell'organizzazione per i CMEK
	Percorso dell'utente C: crittografia gestita dal cliente, nessuna residenza dei dati	Seleziona questa opzione se: Vuoi gestire le tue chiavi di crittografia Non sono tenuti ad archiviare i contenuti principali e l'elaborazione nella stessa regione geografica Il tuo progetto Google Cloud non ha una CMEK vincolo dei criteri dell'organizzazione
	Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati	Seleziona questa opzione se: Vuoi gestire le tue chiavi di crittografia Vuoi archiviare i contenuti principali e l'elaborazione nella stessa regione geografica Il tuo progetto Google Cloud ha un vincolo del criterio dell'organizzazione per CMEK

Percorso dell'utente A: crittografia gestita da Google, nessuna residenza dei dati

Nel passaggio 3, la console visualizza un elenco di hosting e crittografia le opzioni di configurazione e i relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su Modifica per aprire il riquadro Chiavi di hosting e crittografia.

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita da Google. Si tratta di un account lato server gestito da Google chiave di crittografia utilizzata per criptare i dati e le istanze Apigee prima che siano vengono scritte su disco.
Fai clic su Avanti.
Nella sezione Piano di controllo:
1. Deseleziona la casella Abilita la residenza dei dati.
  Nota: se esegui il provisioning di una nuova organizzazione Apigee in un progetto Google Cloud con un vincolo di località della risorsa applicato in un criterio dell'organizzazione, verifica che il vincolo di località sia impostato su global. Poiché il piano di controllo Apigee è un'entità globale per impostazione predefinita, il provisioning non andrà a buon fine se viene applicato un vincolo diverso da global. Per saperne di più, consulta Introduzione alla residenza dei dati.
2. Nell'elenco a discesa Regione di Analytics, seleziona la posizione fisica in cui vuoi archiviare i dati di analisi. Per un elenco delle regioni di Apigee API Analytics disponibili, consulta Sedi di Apigee.
3. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione di hosting del runtime, seleziona la regione in cui vuoi che venga ospitata l'istanza.
2. In Chiave di crittografia del database di runtime, Gestita da Google è elencata come tipo di crittografia.
3. In Chiave di crittografia del disco di runtime, Gestita da Google è elencata come tipo di crittografia.
4. Fai clic su Conferma.
5. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo. Passaggio 4: personalizza il routing degli accessi

Percorso dell'utente B: crittografia gestita da Google, con residenza dei dati

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita da Google. Si tratta di una chiave di crittografia lato server gestita da Google utilizzata per criptare le istanze e i dati di Apigee prima che vengano scritti su disco.
Fai clic su Avanti.
Nella sezione Control plane:
1. Seleziona la casella Abilita la residenza dei dati.
2. Nell'elenco a discesa Jurisdizione di hosting del piano di controllo, seleziona la località fisica in cui vuoi archiviare i dati.
  Nota: una giurisdizione si riferisce a una località all'interno di un confine geopolitico che può coprire più di una regione. Per un elenco delle le giurisdizioni di hosting del piano di controllo, vedi Località Apigee.
3. In Chiave di crittografia del control plane, Gestita da Google è elencata come tipo di crittografia.
Nella sezione Regione dei dati dei consumatori dell'API:
1. Nell'elenco a discesa Regione dei dati dei consumatori dell'API, selezionare la località fisica in cui vuoi archiviare i dati. Per un elenco delle regioni di dati dei consumatori disponibili, consulta Sedi Apigee.
2. In API consumer data encryption key (Chiave di crittografia dei dati dei consumatori dell'API), Gestita da Google è elencata come tipo di crittografia.
3. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione di hosting del runtime, seleziona la regione in cui vuoi che venga ospitata l'istanza. Per un elenco di regioni di runtime disponibili, Località Apigee. Quando si utilizza la residenza dei dati, La località deve trovarsi all'interno della regione del piano di controllo.
2. In Chiave di crittografia del database di runtime, Gestita da Google è elencato come tipo di crittografia.
3. In Chiave di crittografia del disco di runtime, Gestita da Google è elencato come tipo di crittografia.
4. Fai clic su Conferma.
5. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Percorso dell'utente C: crittografia gestita dal cliente, nessuna residenza dei dati

Nel passaggio 3, la console mostra un elenco di opzioni di configurazione per l'hosting e la crittografia e i relativi valori predefiniti. Puoi accettare la configurazione predefinita o fare clic su Modifica per aprire il riquadro Chiavi di hosting e crittografia.

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK). Questo è un cluster gestito dall'utente, chiave di crittografia lato server utilizzata per criptare le istanze Apigee prima che vengano scritti su disco.
Fai clic su Avanti.
Nella sezione Control plane:
1. Deseleziona la casella Abilita la residenza dei dati.
  Nota: se stai eseguendo il provisioning di una nuova organizzazione Apigee all'interno un progetto Google Cloud con un vincolo di località delle risorse applicata a un criterio dell'organizzazione, verifica che il vincolo di località è impostato su global. Poiché il piano di controllo Apigee è un'entità globale per impostazione predefinita, il provisioning non andrà a buon fine se viene applicato un vincolo diverso da global. Per ulteriori informazioni, consulta la sezione Introduzione alla residenza dei dati.
2. Nell'elenco a discesa Regione di Analytics, seleziona la posizione fisica in cui vuoi archiviare i dati di analisi. Per un elenco delle regioni disponibili per l'analisi delle API Apigee, consulta Località Apigee.
3. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione hosting runtime, seleziona la in cui vuoi che sia ospitata l'istanza.
2. Nell'elenco a discesa Chiave di crittografia del database di runtime: seleziona o crea una chiave per i dati archiviati e replicati tra le località di runtime.
3. Se richiesto, fai clic su Concedi.
4. Nell'elenco a discesa Chiave di crittografia del disco di runtime, seleziona o crea una chiave per il runtime dei dati dell'istanza prima che vengano scritti su disco. Ogni istanza ha la propria chiave di crittografia del disco.
5. Fai clic su Concedi, se richiesto.
6. Fai clic su Conferma.
7. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo. Passaggio 4: personalizza il routing degli accessi

Percorso dell'utente D: crittografia gestita dal cliente, con residenza dei dati

Nella sezione Tipo di crittografia, seleziona Chiave di crittografia gestita dal cliente (CMEK). Si tratta di una chiave di crittografia lato server gestita dall'utente utilizzata per criptare le istanze Apigee e i dati prima che vengano scritti su disco.
Nota: se il tuo progetto Google Cloud ha un vincolo dei criteri dell'organizzazione per le chiavi CMEK , la chiave di crittografia gestita da Google è disattivata e la chiave di crittografia gestita dal cliente non può essere cancellata.
Fai clic su Avanti.
Nella sezione Piano di controllo:
1. Seleziona la casella Abilita la residenza dei dati.
  Nota: se il tuo progetto Google Cloud ha una CMEK vincolo del criterio dell'organizzazione, la residenza dei dati è selezionata e non può essere cancellata.
2. Dall'elenco a discesa Giurisdizione di hosting del piano di controllo, seleziona la posizione in cui vuoi archiviare i dati.
  Nota: una giurisdizione si riferisce a una località all'interno di un confine geopolitico che può coprire più di una regione. Per un elenco delle le giurisdizioni di hosting del piano di controllo, vedi Località Apigee.
3. Nell'elenco a discesa Chiave di crittografia del piano di controllo, seleziona o crea una chiave per i dati memorizzati e replicati nelle posizioni di runtime.
  Nota: questo passaggio è necessario solo se selezioni us (multiple regions in us) o eu (multiple regions in European Union) come giurisdizione di hosting del piano di controllo. Se selezioni un'altra regione, questa chiave non è obbligatoria.
4. Fai clic su Concedi, se richiesto.
Nella sezione Regione dei dati dei consumatori dell'API:
1. Dall'elenco a discesa Regione di dati dei consumatori dell'API, seleziona la posizione fisica in cui vuoi archiviare i dati. Per un elenco delle regioni di dati dei consumatori disponibili, consulta Sedi Apigee.
2. Nell'elenco a discesa Chiave di crittografia dei dati dei consumatori dell'API, seleziona o crea una chiave per i dati archiviati per il piano di controllo.
3. Se richiesto, fai clic su Concedi.
4. Fai clic su Conferma.
Nella sezione Runtime:
1. Nell'elenco a discesa Regione hosting runtime, seleziona la in cui vuoi che sia ospitata l'istanza. Quando vengono utilizzati i dati la residenza, il runtime La località deve trovarsi all'interno della regione del piano di controllo.
2. Nell'elenco a discesa Chiave di crittografia del database di runtime, seleziona o crea una chiave per i dati memorizzati e replicati nelle posizioni di runtime.
3. Fai clic su Concedi, se richiesto.
4. Nell'elenco a discesa Chiave di crittografia del disco di runtime, seleziona o crea una chiave per i dati dell'istanza di runtime prima che vengano scritti su disco. Ogni istanza ha e la propria chiave di crittografia.
5. Fai clic su Concedi, se richiesto.
6. Fai clic su Conferma.
7. Fai clic su Fine.
Fai clic su Avanti.

Vai al passaggio successivo, Passaggio 4: personalizza il routing degli accessi.

Come creare una chiave

Per creare una chiave:

Fai clic su Crea chiave.
Seleziona un mazzo di chiavi o, se non esiste, attiva Crea mazzo di chiavi, inserisci un nome e scegli la posizione. I nomi dei keyring possono contenere lettere, numeri trattini bassi (_) e trattini (-). I keyring non possono essere rinominati o eliminati.
Fai clic su Continua.
Crea una chiave. Inserisci un nome e un livello di protezione. Tieni presente che i nomi delle chiavi possono contenere lettere, numeri, trattini bassi (_) e trattini (-). Non è possibile rinominare o eliminare le chiavi. Per il livello di protezione, il software è un buon scelta. Si tratta dello stesso valore predefinito utilizzato da Cloud KMS. ma puoi modificarlo desiderato.
Fai clic su Continua e rivedi le selezioni.
Fai clic su Crea.